简介谷歌刚刚推出了一款名为OSV-Scanner 的新工具，这是一款免费的开源工具，据称可以让开发人员轻松访问与其项目相关的漏洞信息。 2021年谷歌刚刚推出了一款名为OSV-Scanner的新工具，这是一款免费开源工具，据称可以让开发人员轻松访问与其项目相关的漏洞信息。

2021年，谷歌推出了分布式开源漏洞数据库OSV.dev服务，使各种开源生态系统和漏洞数据库能够以机器可读的格式发布和消费信息。

据谷歌称，OSV-Scanner 现在为该OSV 数据库提供了官方支持的前端，它将项目的依赖项列表与影响它们的漏洞连接起来。

这还提供什么？

OSV-Scanner 显然已集成到OpenSSF 的记分卡漏洞检查中，这意味着它将能够将分析范围从项目的直接漏洞扩展到包括其所有依赖项中的漏洞。

谷歌表示，由于软件项目通常涉及来自外部软件库的许多第三方依赖项，并且有太多不同的版本需要手动跟踪，因此自动化将有助于确保安全性。

此外，每个漏洞咨询均来自“开放且权威的来源”，例如RustSec 咨询数据库。

谷歌表示，任何人都可以提出改进建议，从而形成一个非常高质量的数据库。